Auf den Punkt: Prompt-Injection-Angriffe können durch KI-gesteuerte Entwicklungstools klassische Sandbox-Schutzmaßnahmen überwinden und zu lokaler Codeausführung führen.
Zwei Sicherheitslücken in der KI-gestützten Entwicklungsumgebung Cursor ermöglichten Angreifern, Schutzmechanismen zu umgehen und Schadcode mit Betriebssystem-Rechten auszuführen. Die Lücken wurden durch Prompt-Injection-Angriffe auf das integrierte Sprachmodell ausgelöst.
Cato AI Labs hat zwei als „DuneSlide“ bezeichnete Schwachstellen in Cursor entdeckt und mit den CVE-Identifikationen CVE-2026-50548 und CVE-2026-50549 registriert. Beide Lücken ermöglichten es Angreifern, die integrierte Sandbox von Cursor zu umgehen. Das Angriffspotenzial erstreckte sich auf manipulierte Dateien im lokalen Dateisystem sowie auf angebundene Cloud-Dienste.
Die erste Schwachstelle lag in der Verarbeitung des Arbeitsverzeichnisses. Cursor vertraute auf einen optionalen Parameter, der den Speicherort für Schreibvorgänge definiert. Angreifer konnten diesen Parameter über eine manipulierte KI-Eingabe (Prompt Injection) beeinflussen und der Sandbox damit Schreibrechte auf beliebige Verzeichnisse außerhalb des Projekts zuteilen. Das ermöglichte das Überschreiben sicherheitskritischer Programmdateien. Die zweite Lücke betraf die Auflösung symbolischer Links (Symlinks) in Dateipfaden. Ein Fehler in dieser Auflösungslogik führte dazu, dass Cursor unter bestimmten Bedingungen Dateien außerhalb des erlaubten Bereichs veränderte – auch diese Schwachstelle war durch Prompt Injection auslösbar.
Das Angriffsszenario unterscheidet sich fundamental von klassischen Sicherheitsproblemen: Während externe Angreifer typischerweise keinen direkten Zugriff auf lokale Dateisysteme haben, übernehmen KI-gesteuerte Entwicklungswerkzeuge eigenständig sicherheitssensitive Operationen wie Dateierstellung oder Befehlsausführung. Werden manipulierte Eingaben vom Sprachmodell ohne zusätzliche Validierung verarbeitet, entstehen neue Angriffsvektoren auf klassische Softwarefehler.
Das Cursor-Team wurde am Februar 2026 über die Lücken informiert. Nach anfänglicher Ablehnung wurden die Meldungen später neu bewertet und mit Cursor 3.0 Sicherheitsupdates bereitgestellt. Im Juni 2026 erhielten beide Schwachstellen ihre CVE-Nummern und damit die Bestätigung als kritisch eingestuft.
Für die Sicherheitsarchitektur KI-gestützter Entwicklungswerkzeuge folgt daraus: Neben der Absicherung von Sprachmodellen müssen sämtliche klassischen Softwarepfade und Schnittstellen, die das Modell nutzt, mit gleicher Sorgfalt geschützt werden. Prompt-Injection-Angriffe reichen mittlerweile über Chatbot-Antworten hinaus bis zur vollständigen Systemkompromittierung.
Quelle: www.it-daily.net · Erschienen 3. Juli 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.2.